Der Bundestag hat das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) zum Datenschutzrecht beschlossen, dem der Bundesrat zustimmte.^[1] Vor dem Hintergrund der Datenschutzgrundverordnung (DSGVO)^[2] beinhaltet es Neuregelungen zum allgemeinen Datenschutzrecht für öffentliche und nichtöffentliche Stellen. Die DSGVO gilt als europäische Verordnung unmittelbar in allen Mitgliedstaaten und eröffnet den nationalen Gesetzgebern punktuell die Möglichkeit, abweichende Regelungen zu erlassen. Der deutsche Gesetzgeber hat mit dem DSAnpUG-EU hiervon Gebrauch gemacht. Art. 1 DSAnpUG-EU enthält die „neue Fassung“ des Bundesdatenschutzgesetzes (BDSG n.F.), das zeitgleich mit der DSGVO am 25. Mai 2018 in Kraft tritt und das aktuell geltende Bundesdatenschutzgesetz (BDSG) sodann ersetzt.

In datenschutzrechtlichen Sachverhalten wird der Blick zukünftig auf die DSGVO gelegt und soweit diese ergänzungsbedürftig oder ergänzungsoffen ist, nachfolgend das BDSG n.F. betrachtet.^[3] Wie es der Gesetzentwurf zum DSAnpUG-EU vermuten ließ, scheint das BDSG n.F. keine allzu großen Abweichungen von der DSGVO bereitzuhalten. Im Folgenden wird ein Überblick der wichtigsten Neuerungen gegeben:

1. Besondere Kategorien personenbezogener Daten, § 22 BDSG n.F.

Die Kategorien der besonders sensiblen personenbezogenen Daten wurde mit § 22 BDSG n.F. zum Teil konkretisiert. So ist beispielsweise abweichend von Art. 9 Abs. 1 DSGVO die Verarbeitung von personenbezogenen Daten (unten den Voraussetzungen des § 22 Abs. 2 BDSG n.F.^[4]) zur Beurteilung der Arbeitsfähigkeit von Beschäftigten zulässig (§ 22 Abs. 1 Nr. 1 lit b) BDSG n.F).^[5]

2. Ernennung eines Datenschutzbeauftragten, § 38 BDSG n.F.

Im Wesentlichen entspricht § 38 BDSG n.F. den bisherigen Vorschriften des BDSG und beinhaltet die verpflichtende Bestellung eines betrieblichen Datenschutzbeauftragten bei einer Anzahl von mehr als zehn Mitarbeitern, die regelmäßig mit der automatisierten Datenverarbeitung betraut sind. Unabhängig von der Mitarbeiteranzahl ist unter anderem ein Datenschutzbeauftragter bei einer Datenverarbeitung, die zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet, zu beauftragen. Damit hat der deutsche Gesetzgeber die Öffnungsklausel aus Art. 37 DSGVO genutzt, der die Ernennung eines Datenschutzbeauftragten nur zwingend vorsieht, wenn die Kerntätigkeit in der Datenverarbeitung liegt.^[6]

3. Datenschutz-Folgenabschätzung, § 67 BDSG n.F.

Die Datenschutz-Folgenabschätzung ist mit § 67 BDSG n.F. auf nationaler Ebene aufgenommen worden, enthält aber im Wesentlichen keine Erweiterung im Vergleich zu Art. 35 DSGVO.

4. Verzeichnis von Verarbeitungstätigkeiten, § 70 BDSG n.F.

Mit § 70 Abs. 1 BDSG n.F. wurden teilweise die Inhalte des Verzeichnisses von Verarbeitungstätigkeiten erweitert, so dass beispielsweise Angaben über die Rechtsgrundlage der Verarbeitung (Nr. 7) anzugeben sind.

Kathrin Nitsche | Juli 2017

­____________________________

Quellen/Fußnoten:

[1] Zum Gesetzgebungsverfahren siehe: Deutscher Bundestag, Basisinformationen über den Vorgang. Internetquelle: http://dipbt.bundestag.de/extrakt/ba/WP18/796/79680.html, zuletzt aufgerufen: Juli 2017.

[2] Einen Überblick über die DSGVO finden Sie in der „Wissensbox Recht 4.0“: „Datenschutzgrundverordnung – ein erster Überblick“.

[3] Kühling, Neues Bundesdatenschutzgesetz – Anpassungsbedarf bei Unternehmen, NJW 2017, S. 1986.

[4] Als Voraussetzung sind entsprechende Maßnahmen zur Wahrung des Interesses der Betroffenen vorzunehmen, beispielsweise mithilfe der Pseudonymisierung oder Verschlüsselung der personenbezogenen Daten.

[5] Siehe dazu auch § 26 BDSG n.F. (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Die Regelung ist weitestgehend identisch zu der bisherigen Vorschrift aus § 32 Abs. 1 BDSG – ausdrückliche Erwähnung finden jedoch Tarifverträge und Betriebsvereinbarungen.

[6] Kühling, Neues Bundesdatenschutzgesetz – Anpassungsbedarf bei Unternehmen, NJW 2017, S. 1989.